springMVC通过Filter实现防止xss注入

已于 2022-09-20 14:55:22 修改
阅读量1.9w 收藏 17
点赞数 4
分类专栏: spring Web入门及源码学习 Spring Web入门及源码学习 文章标签: filter XSS
于 2017-03-14 20:33:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq924862077/article/details/62053577
版权

  跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

恶意攻击者往web页面里插入恶意scriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户

的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。

原本是打算通过springMVC的HandlerInterceptor机制来实现的,通过获取request然后对request中的参数进行修改,结果虽然值修改了,但在Controller中获取的数值还是没有修改的。没办法就是要Filter来完成。

简单来说就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防)。

@WebFilter(filterName="xssMyfilter",urlPatterns="/*") 
public class MyXssFilter implements Filter{

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
	        throws IOException, ServletException {
		XsslHttpServletRequestWrapper xssRequest = new XsslHttpServletRequestWrapper((HttpServletRequest)request);
		chain.doFilter(xssRequest , response); 
	}
	
	@Override
	public void destroy() {
		
	}
	
}

XSS代码的过滤是在XsslHttpServletRequestWrapper中实现的,主要是覆盖实现了getParameter,getParameterValues,getHeader这几个方法,然后对获取的value值进行XSS处理。

public class XsslHttpServletRequestWrapper extends HttpServletRequestWrapper {

	 HttpServletRequest xssRequest = null;  
	
	public XsslHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		xssRequest = request;
	}
	
	
	 @Override  
	 public String getParameter(String name) {  
	      String value = super.getParameter(replaceXSS(name));  
	        if (value != null) {  
	            value = replaceXSS(value);  
	        }  
	        return value;  
	 }  
	 
	 @Override
	public String[] getParameterValues(String name) {
		 String[] values = super.getParameterValues(replaceXSS(name));
		 if(values != null && values.length > 0){
			 for(int i =0; i< values.length ;i++){
				 values[i] = replaceXSS(values[i]);
			 }
		 }
		return values;
	 }
	 
	 @Override  
	 public String getHeader(String name) {  
	  
	        String value = super.getHeader(replaceXSS(name));  
	        if (value != null) {  
	            value = replaceXSS(value);  
	        }  
	        return value;  
	    } 
	 /**
	  * 去除待带script、src的语句,转义替换后的value值
	  */
	public static String replaceXSS(String value) {
	    if (value != null) {
	        try{
	        	value = value.replace("+","%2B");   //'+' replace to '%2B'
	        	value = URLDecoder.decode(value, "utf-8");
	        }catch(UnsupportedEncodingException e){
	        }catch(IllegalArgumentException e){
	    }
	        
			// Avoid null characters
			value = value.replaceAll("\0", "");

			// Avoid anything between script tags
			Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");

			// Avoid anything in a src='...' type of e­xpression
			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");

			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");

			// Remove any lonesome </script> tag
			scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");

			// Remove any lonesome <script ...> tag
			scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");

			// Avoid eval(...) e­xpressions
			scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");

			// Avoid e­xpression(...) e­xpressions
			scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");

			// Avoid javascript:... e­xpressions
			scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid alert:... e­xpressions
			scriptPattern = Pattern.compile("alert", Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid onload= e­xpressions
			scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);  
			value = scriptPattern.matcher(value).replaceAll("");
		}	        
	    return filter(value);
	}
		
		/**
		 * 过滤特殊字符
		 */
		public static String filter(String value) {
	        if (value == null) {
	            return null;
	        }        
	        StringBuffer result = new StringBuffer(value.length());
	        for (int i=0; i<value.length(); ++i) {
	            switch (value.charAt(i)) {
		            case '<':
		                result.append("<");
		                break;
		            case '>': 
		                result.append(">");
		                break;
		            case '"': 
		                result.append(""");
		                break;
		            case '\'': 
		                result.append("'");
		                break;
		            case '%': 
		                result.append("%");
		                break;
		            case ';': 
		                result.append(";");
		                break;
			        case '(': 
		                result.append("(");
		                break;
		            case ')': 
		                result.append(")");
		                break;
		            case '&': 
		                result.append("&");
		                break;
		            case '+':
		                result.append("+");
		                break;
		            default:
		                result.append(value.charAt(i));
		                break;
		        }  
	        }
	        return result.toString();
	    }
	
}

军伟@
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
spingMVC xss攻击过滤
浅灰色、邂逅的博客
06-04 359
1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter</filter-name> <filter-class>com.xbz.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</fil
springboot防止XSS攻击和sql注入
最新发布
02-22 945
springboot防止XSS攻击和sql注入
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6237
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能
chenghuagui9785的博客
05-31 1054
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能,然后在初始化init方法加载需要过滤的XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
SpringMVC防止XSS攻击
ywb201314的专栏
03-20 834
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter&l...
Spring MVC 防止XSS注入
Mr_Wanter
06-14 3808
方法一:摘自https://www.cnblogs.com/yuanchaoyong/p/7243492.htmlFilter拦截 包装request->创建过滤器->添加过滤器 通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其publicString[]getParameterValues(String...
spring mvc xss filter
涛哥盛世
07-09 5484
spring mvc xss filter        XSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。           一般现
SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符
m0_45446516的博客
03-16 673
SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符 一 简介 如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS攻击(跨站脚本攻击),比如说这样: form表单中有这么一个字段: <input type="text" id="author" name="author" placeholder="昵称" /&...
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 562
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1432
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
防sql注入xss攻击, springmv拦截器
07-24
防sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
SpringMVC实现笔记_SpringMVC实现笔记_
10-01
开发步骤①导入SpringMVC相关坐标②配置SpringMVC核心控制器DispathcerServlet③创建Controller类和视图页面④使用注解配置Controller类中业务方法的映射地址⑤配置SpringMVC核心文件 spring-mvc.xml⑥客户端发起...
SpringMVC通过拦截器实现IP黑名单
08-25
主要为大家详细介绍了SpringMVC通过拦截器实现IP黑名单,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springMVC源码分析--国际化LocaleResolver(一)
热门推荐
井底之蛙
10-21 1万+
springMVC给我们提供了国际化支持,简单来说就是设置整个系统的运行语言,然后根据系统的运行语言来展示对应语言的页面,一般我们称之为多语言。springMVC国际化机制就是可以设置整个系统的运行语言,其定义了一个国际化支持接口LocaleResolver,提供的默认实现类如下图。 springMVC国际化提供了四个默认实现的类AcceptHeaderLocaleResolver,Fi
springMVC源码分析--容器初始化(一)ContextLoaderListener
井底之蛙
10-10 1万+
spring Web中,需要初始化IOC容器,用于存放我们注入的各种对象。当tomcat启动时首先会初始化一个web对应的IOC容器,用于初始化和注入各种我们在web运行过程中需要的对象。当tomcat启动的时候是如何初始化IOC容器的,我们先看一下在web.xml中经常看到的配置: contextConfigLocation classpath:applicationContex
springmvc将jar包的bean实现注入
03-24
Spring MVC通过依赖注入(DI)和控制反转(IOC)的机制来实现jar包的bean实现注入。具体实现方式包括使用注解、XML配置文件等多个方法。需要注意的是,Spring MVC框架在注入时会根据不同的情况选择不同的注入方式,比如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值